CitrixBleed 2 Açıklaması ve Tehditleri
Son dönemde siber güvenlik alanında kaydedilen bazı gelişmeler, özellikle CitrixBleed 2 açığı (CVE-2025-5777) üzerine odaklanmıştır. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Citrix NetScaler ADC ve Gateway üzerindeki bu açığın aktif olarak kullanıldığını resmi olarak doğrulamıştır. Federal ajanslardan, güvenlik açıklarını kapatmaları için sadece bir gün süre verilmesi, bu açığın ne kadar ciddi olduğunu göstermektedir.
Açığın Kapsamı
CitrixBleed 2, kritik bir bellek güvenliği açığıdır. Bu güvenlik açığı, yetkisiz bir saldırganın belleğin kısıtlı bölgelerine erişim sağlamasına olanak tanımaktadır. NetScaler cihazlarını etkileyen bu sorun, belirli yazılım versiyonlarını kapsamaktadır; 14.1-43.56, 13.1-58.32, 13.1-37.235-FIPS/NDcPP ve 2.1-55.328-FIPS gibi sürümler. CISA, açığın ciddiyetini göz önünde bulundurarak, federal ajansların güncellemeleri uygulamalarını istemektedir.
Güvenlik Açığının İhlalleri
Citrix, bu güvenlik açığını düzeltmek için 17 Haziran tarihinde güncellemeler yayımlamıştır. Ancak, güvenlik araştırmacısı Kevin Beaumont bir hafta sonra, bu açığın kötüye kullanılma potansiyeli ve neden olabileceği sonuçlar hakkında uyarıda bulunmuştur. Beaumont, bu açığı “CitrixBleed 2” olarak adlandırmıştır; eski CitrixBleed açığına (CVE-2023-4966) benzerliği nedeniyle.
CISA’nın açığı, Bilinen Kötüye Kullanılan Güvenlik Açıkları (KEV) kataloğuna eklemesi, güvenlik uzmanları arasında endişelere yol açmıştır. ReliaQuest tarafından 27 Haziran’da yapılan ilk uyarıdan sonra, watchTowr ve Horizon3 7 Temmuz’da bu açığı kötüye kullanabilecek örnekler yayımlamıştır.
Saldırganların Faaliyetleri
Son iki hafta içerisinde, tehdit aktörleri, hacker forumlarında bu açığı tartışmakta, çalışmakta, test etmekte ve kanıt-of-kavram (PoC) üzerine geri bildirimde bulunmaktadırlar. Geçtiğimiz günlerde, bu açıkla ilgili çeşitli istismarların yayımlandığı görülmüştür. Saldırganların, açığın teknik bilgileri üzerinden kendi istismarlarını geliştirmiş olma ihtimali oldukça yüksektir.
CISA da, “Üretici talimatlarına göre önleyici tedbirleri uygulayın, bulut hizmetleri için geçerli BOD 22-01 kılavuzlarına uyun veya önleyici tedbirler mevcut değilse ürünü kullanmaktan vazgeçin” uyarısında bulunmaktadır. Kullanıcıların önerilen firmware versiyonlarına yükseltmeleri, bu açıkla başa çıkmak için kritik öneme sahiptir.
Önerilen Önlemler
Güncelleme işlemini gerçekleştiren yöneticilerin, aktif ICA ve PCoIP oturumlarını sonlandırmaları önerilmektedir. Bu oturumlar, zaten tehlikeye atılmış olabilir. Güncelleme işleminden önce, kullanıcıların şüpheli davranışları incelemesi, ‘show icaconnection’ komutunu ya da NetScaler Gateway > PCoIP > Bağlantılar üzerinden kontrol etmeleri önemlidir. Oturum bitirme komutları ise aşağıdaki gibidir:
kill icaconnection -all
kill pcoipconnection -all
Eğer hemen güncelleme yapmak mümkün değilse, firewall kuralları veya Erişim Kontrol Listeleri (ACL) kullanarak NetScaler’a dış erişimi sınırlamaları önerilmektedir.
Citrix’in Durumu ve Devam Eden Gelişmeler
CISA, açığın aktif bir şekilde kullanıldığını doğrularken, Citrix’in 27 Haziran’daki orijinal güvenlik bildirisinde, CVE-2025-5777’nin doğada kötüye kullanıldığına dair bir kanıt bulunmadığını belirtmesi kafa karıştırıcıdır. BleepingComputer, Citrix ile iletişime geçerek bu konudaki güncellemeleri sormuştur. Citrix’ten gelen yanıt beklenirken, kullanıcıların dikkatli olmaları ve gerekli önlemleri almaları kritik öneme sahiptir.
Sonuç olarak, getirilen açıklamalar ve güncellemeler ışığında, CitrixBleed 2 güvenlik açığı, hem bireysel kullanıcılar hem de büyük organizasyonlar için büyük bir tehdit oluşturmaktadır. Uygulanması gereken önlemler ve güncellemeler, bu açığın olası etkilerini azaltmak için önemlidir.
